Överbelastningsangrepp (DoS) och distribuerade överbelastningsangrepp (DDoS) är cyberangrepp där angriparen försöker göra en tjänst otillgänglig. Det kan exempelvis vara en webbsida, DNS (Domain Name System), e-post eller annan externt åtkomlig tjänst som angriparen försöker hindra de avsedda användarna från att nyttja.
Det finns många olika typer av överbelastningsangrepp som riktas mot olika funktioner hos servern, så som nätverkskommunikation eller applikationer som körs på servern. I vissa fall används en kombination av olika tekniker för att göra det svårare att försvara sig.
Gemensamt för angreppen är att de uppehåller servern som ska tillhandahålla den drabbade tjänsten genom att skicka trafik som utarmar serverns resurser. Distribuerade överbelastningsangrepp (DDoS) använder ett större antal datorer, så som ett botnät, för att angripa den drabbade tjänsten. I det enklaste fallet skickar angriparen en stor mängd trafik till den drabbade servern. Ofta utnyttjar angriparen funktioner i protokoll som servern använder för att kommunicera.
Ett exempel på det är SYN-flood, en typ av angrepp som utnyttjar hur kommunikation upprättas när protokollet TCP används. TCP är ett vanligt förekommande protokoll som används för att upprätthålla en förbindelse mellan en klient och en server. Servern kan hantera ett begränsat antal förbindelser samtidigt och en angripare kan utnyttja detta genom att starta ett stort antal förbindelser och sedan sluta svara. På så sätt fylls den drabbade serverns kapacitet och servern kan inte upprätta nya förbindelser med legitima användare som vill nyttja serverns tjänster.
Angreppet kan jämföras med när många användare försöker använda en tjänst samtidigt, till exempel köpa biljetter till en populär konsert, och på så sätt överbelastar servern så att fler inte kan ansluta. Angriparen kan också utnyttja funktioner i applikationslagret som inkluderar bland annat DNS och HTTP som används för att överföra webbsidor. När en användare vill nå en webbsida skickar användarens klient en förfrågan till servern som svarar. En angripare kan använda detta för att skicka ett stort antal förfrågningar till servern och på så sätt uppehålla den med att svara på angriparens förfrågningar istället för sådana som kommer från legitima användare.
Angriparen kan också välja att skicka förfrågningar som är krävande för servern att svara på, till exempel sökningar som kräver att servern går igenom mycket information för att svara.I vissa fall kan angriparen utnyttja en sårbarhet i en programvara på servern för att göra den otillgänglig. Det är däremot inte en förutsättning för att servern ska kunna utsättas för ett överbelastningsangrepp.
Överbelastningsangrepp har sällan bestående eller destruktiv påverkan på systemen som utsätts. Ett överbelastningsangrepp innebär inte heller att angriparen kommer in i systemet och kan ta del av eller ändra på information.
Vid ett överbelastningsangrepp är det endast tillgängligheten på tjänsten som påverkas. Överbelastningsangrepp kan däremot vara störande och skapa både verksamhetskonsekvenser och oro hos legitima användare som hindras från att använda drabbade tjänster under tiden angreppet pågår. Digitaliseringen har lett till att ett större beroende av digitala tjänster i vardagen, exempelvis finns idag en förväntan på tillgång till kortbetalningar och internetbank.
Överbelastningsangrepp kan också få verksamhetskonsekvenser om tillhandahållande av den digitala tjänsten är en viktig del av företagets verksamhet. Om tjänsten som utsätts är tidskritisk kan alternativa lösningar behövas för att i möjligaste mån tillgodose behovet.
Det kan finnas flera olika skäl till att en angripare väljer att utföra ett överbelastningsangrepp. Det kan vara politiska syften, inklusive ”hacktivism”, för att utpressa den drabbade organisationen eller som en distraktion från andra samtida angrepp. Angriparen kan välja att rikta angreppet mot en publik tjänst som är synlig för många, så som en välbesökt webbsida, för att på så sätt få mer uppmärksamhet. Eftersom överbelastningsangrepp kan användas för att dra uppmärksamhet från andra aktiviteter är det klokt att vara vaksam på eventuella samtidiga angrepp.
Det är mycket svårt att helt förhindra överbelastningsangrepp, men rätt förberedelser och säkerhetsåtgärder kan mildra konsekvenserna av eventuella framtida angrepp. Genom ett systematiskt informationssäkerhetsarbete där skyddet kontinuerligt anpassas utifrån organisationens behov och risker är det lättare att hantera när en incident inträffar. Det bör finnas en tydlig plan för vem som ska göra vad när något händer.